本發明公開了一種變電站加密通信下的故障定位方法。本發明采用的技術方案為：通信發起方和通信接收方采用認證加密技術建立加密通道后，在傳輸固定長度的數據后或定期更換通信用加密密鑰；同時，在應用層實時監視通信過程中的異常信息；當發生任何通信異常時，準確描述異常信息并編碼成異常通知報文，并立即以明文方式發送可被網絡報文收集設備捕獲的異常通知報文；當通信發送方、通信接收方的任何一方監視到特定異常等級的通信異常時，自動觸發對異常信息的日志記錄。本發明提升了變電站內認證、加密通信環境下的通信異常情況下的故障定位能力，降低了對變電站內通信進行運維管理的難度。

技術領域

本發明屬于電力系統的運行維護領域，涉及加密通信下異常通信問題的定位方法，具體地說是一種變電站加密通信下的故障定位方法。

背景技術

隨著計算機與通信技術在電力系統中的大量應用，以及日益強化的網絡安全要求，變電站的通信安全問題越來越得到重視。認證與加密通信技術是解決網絡通信安全問題的常見技術手段，為進一步提升變電站內通信的安全性，該技術也在變電站中也逐漸得到試點與應用。

認證與加密通信技術的應用雖然提升了變電站的通信安全性，但也給變電站的運維管理，尤其通信問題的故障定位帶來了挑戰。在通信雙方的認證過程中，通常有多重原因可能導致認證失敗，如證書超期、證書簽名驗證失敗、證書已被撤銷列等，一旦通信認證失敗，不僅需要人工對通信交互報文進行分析，甚至還需要召喚通信設備自身的存儲信息才能進一步問題定位，其故障定位要求技術難度高，定位過程復雜，增加了變電站通信的運維管理難度。而一旦應用加密通信技術，因通信交互報文被加密將進一步增加通信故障定位的技術難度，傳統的通信故障定位策略已不再具有可行性。

發明內容

本發明所要解決的技術問題是克服上述現有技術存在的缺陷，提供一種變電站加密通信下的故障定位方法，以提升變電站內認證、加密通信環境下的通信異常情況下的故障定位能力，降低對變電站內通信進行運維管理的難度。

為達成上述目的，本發明采用的技術方案是：一種變電站加密通信下的故障定位方法，通信發起方和通信接收方采用認證加密技術建立加密通道后，在傳輸固定長度的數據后或定期更換通信用加密密鑰；同時，在應用層實時監視通信過程中的異常信息，并按照異常的等級對異常信息進行分類；

當發生任何通信異常時，準確描述異常信息并編碼成異常通知報文，并立即以明文方式發送可被網絡報文收集設備捕獲的異常通知報文；網絡報文收集設備負責單向收集并記錄通信發起方、通信接收方的加密通信報文與異常通知報文，并提供信息展示；

當通信發送方、通信接收方的任何一方監視到特定異常等級的通信異常時，自動觸發對異常信息的日志記錄。

所述的特定異常等級指某一異常等級，如Notice等級、一般告警等級Warnning、嚴重告警等級Alarm或錯誤報警等級Error。

進一步地，網絡報文收集設備的信息展示包含準確解析并展示通信雙方的異常通知報文，并可根據異常通知報文的異常發生時間、通信雙方的ID、檢索并獲取該通信雙方在異常發生時間前一段時間內加密通信報文；通過導入對應的通信發起方/通信接收方的異常信息的日志中構建加密通道的密鑰信息，支持將這一時間段的加密報文解密為明文并展示。

進一步地，所述的異常通知報文采用UDP組播方式發送，異常通知報文至少包含異常發生時間、通信雙方的ID、異常報文的等級和異常現象的詳細描述信息。

進一步地，所述的異常信息的日志支持多條目信息記錄，且僅在發生通信異常時才能采用循環覆蓋方式進行日志信息修改與更新；異常信息的日志對外僅支持讀操作，并且僅在獲取日志訪問權限后才可以訪問并讀取這些日志信息；每條異常信息的日志至少包含異常發生的時間、通信雙方的ID、構建加密通信的密鑰信息以及異常現象的描述信息。

進一步地，將通信發起方、通信接收方的網絡報文通過交換機鏡像的方式發給網絡報文收集設備。